बहु-लाइसेन्स छूट उद्धरण
खतरा डाटाबेस मालवेयर नक्कली मोल्टबोट एआई कोडिङ सहायक

नक्कली मोल्टबोट एआई कोडिङ सहायक

मालवेयर मा Mezo सम्म
यसमा अनुवाद गर्नुहोस्:

साइबरसुरक्षा अनुसन्धानकर्ताहरूले आधिकारिक मार्केटप्लेसमा एक दुर्भावनापूर्ण माइक्रोसफ्ट भिजुअल स्टुडियो कोड एक्सटेन्सन पहिचान गरेका छन् जसले मोल्टबोट (पहिले क्लाउडबोट) को लागि नि:शुल्क एआई-संचालित कोडिङ सहायकको रूपमा झूटो विज्ञापन गरेको थियो। वैध कार्यक्षमता प्रदान गर्नुको सट्टा, एक्सटेन्सनले चुपचाप सम्झौता गरिएका प्रणालीहरूमा हानिकारक पेलोड तैनाथ गर्यो।

'ClawdBot Agent – AI Coding Assistant' (clawdbot.clawdbot-agent) शीर्षकको यो एक्सटेन्सन जनवरी २७, २०२६ मा 'clawdbot' नामक प्रयोगकर्ताद्वारा प्रकाशित गरिएको थियो। माइक्रोसफ्टले यसलाई मार्केटप्लेसबाट हटाएको छ। धम्की दिने कलाकारहरूले मोल्टबोटको लोकप्रियतामा भएको तीव्र वृद्धिलाई प्रयोग गरेर शंका नगर्ने विकासकर्ताहरूलाई मोल्टबोट आफैंले आधिकारिक रूपमा प्रस्ताव नगर्ने उपकरण स्थापना गर्न लोभ्याए।

किन मोल्टबोट आकर्षक चारा थियो?

ठूला भाषा मोडेलहरूद्वारा सञ्चालित स्थानीय रूपमा होस्ट गरिएको व्यक्तिगत एआई सहायकको वाचाले गर्दा मोल्टबोटले गिटहबमा ८५,००० ताराहरू पार गरेको छ। प्लेटफर्मले व्हाट्सएप, टेलिग्राम, स्ल्याक, डिस्कर्ड, सिग्नल, आईमेसेज, माइक्रोसफ्ट टिम्स, गुगल च्याट, र वेब-आधारित च्याट क्लाइन्टहरू जस्ता परिचित सेवाहरू मार्फत अन्तरक्रियालाई सक्षम बनाउँछ।

प्रायः बेवास्ता गरिने एउटा महत्वपूर्ण बुँदा के हो भने मोल्टबोटसँग कुनै वैध VS कोड एक्सटेन्सन छैन। आक्रमणकारीहरूले विकासकर्ता इकोसिस्टममा निर्बाध रूपमा मिसिन डिजाइन गरिएको नक्कली प्लगइन प्रस्तुत गरेर यो खाडलको फाइदा उठाए।

IDE लन्च देखि पूर्ण रिमोट कन्ट्रोल सम्म

एक पटक स्थापना भएपछि, VS कोड सुरु हुँदा प्रत्येक पटक मालिसियस एक्सटेन्सन स्वचालित रूपमा कार्यान्वयन भयो। यसले clawdbot.getintwopc.site बाट रिमोट config.json फाइल पुन: प्राप्त गर्‍यो, जसले एक्सटेन्सनलाई Code.exe भनिने बाइनरी चलाउन निर्देशन दियो। यो कार्यान्वयनयोग्यले एक वैध रिमोट पहुँच उपकरण तैनाथ गर्‍यो: ConnectWise ScreenConnect।

त्यसपछि स्थापित ScreenConnect क्लाइन्ट meeting.bulletmailer.net:8041 मा जडान भयो, जसले आक्रमणकारीहरूलाई संक्रमित मेसिनमा निरन्तर, अन्तरक्रियात्मक रिमोट पहुँच प्रदान गर्‍यो।

अनावश्यक डेलिभरी र लचिलोपन रणनीतिहरू

आक्रमणकारीहरूले आफ्नै स्क्रिनकनेक्ट रिले पूर्वाधार सञ्चालन गर्थे, एक्सटेन्सन मार्फत पूर्व-कन्फिगर गरिएको क्लाइन्ट वितरण गर्थे। प्राथमिक कमाण्ड-एन्ड-कन्ट्रोल च्यानलहरू असफल भए पनि धेरै फलब्याक संयन्त्रहरूले पेलोड डेलिभरी सुनिश्चित गर्थे।

यसमा समावेश थियो:

  • config.json मा सन्दर्भ गरिएको रस्ट-आधारित मालिसियस DLL (DWrite.dll) को पुन: प्राप्ति र साइडलोडिङ, जसले Dropbox बाट ScreenConnect क्लाइन्ट डाउनलोड गर्न सक्षम छ।
  • Code.exe मार्फत DLL साइडलोडिङ, जसले एउटै डाइरेक्टरीमा राख्दा दुर्भावनापूर्ण पुस्तकालयलाई प्राथमिकतामा राख्नेछ।
  • एक्सटेन्सन भित्रका हार्ड-कोड गरिएका URL हरू जसले वैकल्पिक डाउनलोड स्थानहरूलाई औंल्याउँछन्।
  • darkgptprivate.com बाट पेलोडहरू सोर्स गर्ने ब्याच-स्क्रिप्ट-आधारित ब्याकअप विधि।

    • गहन विश्लेषणले संकेत गर्छ कि आक्रमणकारीहरूले सञ्चालन असफलताको अपेक्षा गरेका थिए, किनकि धेरै संयन्त्रहरू अविश्वसनीय थिए तर दृढताको लागि तहबद्ध थिए।

    ठूलो एक्सपोजर: असुरक्षित मोल्टबोट तैनातीहरू

    दुर्भावनापूर्ण एक्सटेन्सनभन्दा बाहिर, अनुसन्धानकर्ताहरूले सयौं अप्रमाणित मोल्टबोट उदाहरणहरू अनलाइन पत्ता लगाए। यी क्लासिक रिभर्स-प्रोक्सी गलत कन्फिगरेसनको परिणाम थिए जसले कन्फिगरेसन फाइलहरू, API कुञ्जीहरू, OAuth प्रमाणहरू, र निजी च्याट इतिहासहरू उजागर गर्यो।

    मोल्टबोटले 'स्थानीय' जडानहरूको स्वतः-अनुमोदन र रिभर्स प्रोक्सीहरू पछाडिको तैनातीबाट यो त्रुटि उत्पन्न भएको थियो। इन्टरनेट-उत्पत्ति ट्राफिकलाई गलत रूपमा विश्वसनीय स्थानीय पहुँचको रूपमा व्यवहार गरिएको थियो, जसले गर्दा अप्रमाणित नियन्त्रण सक्षम भयो।

    जब एआई एजेन्टहरू आक्रमणकारी प्रोक्सी बन्छन्

    मोल्टबोट एजेन्टहरूसँग सञ्चालन स्वायत्तता हुन्छ। तिनीहरूले प्रयोगकर्ताहरूको तर्फबाट सन्देश पठाउन सक्छन्, प्रमुख सन्देश प्लेटफर्महरूमा अन्तरक्रिया गर्न सक्छन्, उपकरणहरू कार्यान्वयन गर्न सक्छन् र आदेशहरू चलाउन सक्छन्। यदि अनधिकृत पहुँच प्राप्त गरियो भने यसले गम्भीर जोखिमहरू प्रस्तुत गर्दछ।

    • सम्झौता गरिएका एजेन्टहरूको दुरुपयोग निम्न रूपमा गर्न सकिन्छ:
    • अपरेटरहरूको नक्कल गर्नुहोस् र निजी कुराकानीहरूमा सन्देशहरू इन्जेक्ट गर्नुहोस्
    • एजेन्ट आउटपुट र कार्यप्रवाहहरू हेरफेर गर्नुहोस्
    • संवेदनशील डेटा अदृश्य रूपमा एक्सफिल्टरेट गर्नुहोस्
    • MoltHub (पहिले ClawdHub) मार्फत दुर्भावनापूर्ण वा पछाडिबाट पठाइएका 'सीपहरू' वितरण गर्नुहोस्, जसले आपूर्ति-श्रृंखला शैली आक्रमणहरूलाई सक्षम बनाउँछ।

    व्यापक गलत कन्फिगरेसनहरूले पहिले नै प्रमाणपत्र चुहावट, प्रम्प्ट-इन्जेक्शन दुरुपयोग, र क्रस-क्लाउड सम्झौता परिदृश्यहरूको लागि उपयुक्त अवस्था सिर्जना गरिसकेको छ।

    वास्तुकलाको कमजोर पक्ष

    यस मुद्दाको मूलमा मोल्टबोटको वास्तुकला दर्शन निहित छ। प्लेटफर्मले कडा पूर्वनिर्धारितहरू भन्दा घर्षणरहित तैनातीलाई प्राथमिकता दिन्छ। प्रयोगकर्ताहरूले जबरजस्ती फायरवालिङ, क्रेडेन्सियल प्रमाणीकरण, वा प्लगइन स्यान्डबक्सिङ बिना नै संवेदनशील उद्यम सेवाहरूलाई द्रुत रूपमा एकीकृत गर्न सक्छन्।

    सुरक्षा पेशेवरहरूले चेतावनी दिन्छन् कि परम्परागत सुरक्षा परिधि बाहिर प्रायः अव्यवस्थित व्यक्तिगत उपकरणहरूबाट इन्टरप्राइज प्रणालीहरूमा मोल्टबोटको गहिरो पहुँचले गलत कन्फिगर गर्दा उच्च-प्रभाव नियन्त्रण बिन्दुहरू सिर्जना गर्दछ। स्यान्डबक्सिङको अभाव र प्लेनटेक्स्टमा दीर्घकालीन मेमोरी र प्रमाणहरूको भण्डारणले मोल्टबोटलाई विशेष रूपमा आकर्षक लक्ष्य बनाउँछ।

    यदि आक्रमणकारीले होस्ट मेसिनमा सम्झौता गर्छ भने, उन्नत प्रविधिहरू अनावश्यक हुन्छन्। आधुनिक इन्फोस्टेलरहरूले टोकनहरू, एपीआई कुञ्जीहरू, लगहरू, र विकासकर्ता कन्फिगरेसन डेटाको लागि नियमित रूपमा ज्ञात निर्देशिकाहरू सङ्कलन गर्छन्। जब यी सम्पत्तिहरू इन्क्रिप्ट नगरी भण्डारण गरिन्छन्, तिनीहरूलाई केही सेकेन्डमै एक्सफिल्टर गर्न सकिन्छ।

    अनुसन्धानकर्ताहरूले पहिले नै रेडलाइन, लुम्मा र भिडार जस्ता मालवेयर-एज-ए-सर्भिस परिवारहरूले मोल्टबोट-सम्बन्धित डाइरेक्टरी संरचनाहरूलाई लक्षित गर्न विशेष रूपमा अनुकूलन गरेको अवलोकन गरिसकेका छन्।

    डेटा चोरी देखि संज्ञानात्मक सम्झौता सम्म

    इन्फोस्टीलर अपरेटरहरूको लागि, मोल्टबोट डेटाले प्रमाणहरू भन्दा बढी प्रतिनिधित्व गर्दछ। यसले अनुसन्धानकर्ताहरूले 'संज्ञानात्मक सन्दर्भ चोरी' भनेर वर्णन गरेको कुरालाई सक्षम बनाउँछ। कुराकानी इतिहास, प्रणाली प्रम्प्टहरू, र दीर्घकालीन मेमोरीमा पहुँचले विरोधीहरूलाई प्रणालीहरू मात्र नभई सञ्चालनको उद्देश्य बुझ्न अनुमति दिन्छ।

    यदि आक्रमणकारीहरूले लेखन पहुँच पनि प्राप्त गर्छन्, जस्तै चोरीकर्तासँगै तैनाथ गरिएको रिमोट एक्सेस ट्रोजन मार्फत, तिनीहरू एजेन्ट अपहरण र मेमोरी विषाक्तता, समयसँगै व्यवहार, आउटपुटहरू, र विश्वास सम्बन्धहरूलाई सूक्ष्म रूपमा हेरफेर गर्न बढ्न सक्छन्।

    तत्काल जोखिम न्यूनीकरण उपायहरू

    पूर्वनिर्धारित सेटिङहरूसँग मोल्टबोट सञ्चालन गर्ने संस्थाहरू र व्यक्तिहरूलाई तुरुन्तै रक्षात्मक कारबाही गर्न कडा सल्लाह दिइन्छ:

    • सबै कन्फिगरेसनहरू र खुला सेवाहरूको अडिट गर्नुहोस्।
    • प्रत्येक जडान गरिएको एकीकरण र प्रमाणपत्र रद्द गर्नुहोस् र घुमाउनुहोस्।
    • सम्झौताका संकेतहरूको लागि प्रणालीहरूको समीक्षा गर्नुहोस्।
    • नेटवर्क-स्तर पहुँच नियन्त्रण र अनुगमन लागू गर्नुहोस्।

    निर्णायक उपचार बिना, मोल्टबोट वातावरणहरू मौन अधिग्रहण, डेटा साइफनिङ, र डाउनस्ट्रीम आपूर्ति-श्रृंखला आक्रमणहरूको लागि अत्यधिक संवेदनशील रहन्छन्।

    ट्रेन्डिङ

    आईटी सुरक्षा सुरक्षा इमेल घोटाला

    फिसिङ, स्प्याम
    अप्रत्याशित इमेलहरू जसले तत्काल सुरक्षा समस्याहरू दाबी गर्छन् तिनीहरूलाई सधैं सावधानीपूर्वक व्यवहार गर्नुपर्छ। साइबर अपराधीहरूले प्रायः डर र आवेगको फाइदा उठाउँदै प्रयोगकर्ताहरूलाई महँगो गल्ती गर्न फसाउँछन्। तथाकथित 'आईटी सुरक्षा सुरक्षा' इमेलहरू यस रणनीतिको स्पष्ट उदाहरण हुन्। यी सन्देशहरू कुनै पनि वैध कम्पनीहरू, संस्थाहरू, वा संस्थाहरूसँग सम्बन्धित छैनन्, र तिनीहरू केवल...

    मल्टीसेन्डर एयरड्रप घोटाला

    दुष्ट वेबसाइटहरू
    वेब ब्राउज गर्दा निरन्तर सावधानी अपनाउनु अब ऐच्छिक रहेन, यो आवश्यक छ। धम्की दिने व्यक्तिहरूले विश्वासको शोषण गर्न र बहुमूल्य डेटा वा सम्पत्ति चोर्न वैध प्लेटफर्महरू, ब्रान्डहरू र सेवाहरूको नक्कल...

    PDFSIDER मालवेयर

    मालवेयर, उन्नत लगातार खतरा (एपीटी), पछाडिको ढोका
    PDFSIDER लक्षित प्रणालीहरूमा घुसपैठ गर्न र आक्रमणकारीहरूलाई निरन्तर रिमोट पहुँच प्रदान गर्न डिजाइन गरिएको एक दुर्भावनापूर्ण ब्याकडोर हो। एक पटक सक्रिय भएपछि, यसले वैध फाइलको रूपमा भेष बदलेर र DLL...

    धेरै हेरिएको

    मालवेयर

    फिसिङ, स्प्याम
    26,987
    'Apple Pay निलम्बित' घोटाला सन्देश एक प्रकारको फिसिङ युक्ति हो जसले Apple Pay का प्रयोगकर्ताहरूलाई लक्षित गर्दछ। सन्देशले प्रयोगकर्ताको एप्पल पे वालेट निलम्बित गरिएको दाबी गरेको छ र तिनीहरूलाई पुनर्स्थापना गर्न लिङ्क क्लिक गर्न आग्रह गर्दछ। यद्यपि, लिङ्कमा क्लिक गर्दा प्रयोगकर्तालाई नक्कली वेबसाइटमा लैजान्छ जुन उनीहरूको व्यक्तिगत र वित्तीय जानकारी चोर्न डिजाइन गरिएको हो। यदि एक...
    'गीक स्क्वाड' इमेल घोटाला स्क्रिनसट

    'गीक स्क्वाड' इमेल घोटाला

    फिसिङ, स्प्याम
    24,386
    Geek Squad, एक लोकप्रिय टेक समर्थन प्रदायक, Geek Squad Email Scam भनिने फिसिङ घोटालाको शिकार भएको छ। यो प्राविधिक समर्थन घोटालाले नक्कली इमेलहरू प्रयोग गर्दछ जसले मानिसहरूलाई उनीहरूको व्यक्तिगत...

    Fuq.com

    रोग विरोधी स्पाइवेयर कार्यक्रम, म्याक मालवेयर
    21,044
    Fuq.com एक एडवेयर-प्रकारको कार्यक्रम हो जसले अश्लील सामग्री भएका वेबसाइटहरूलाई बढावा दिन्छ। यस सम्भावित अवांछित कार्यक्रम (PUP) को विज्ञापन अभियानहरू धेरै आक्रामक छन्। तिनीहरूले आफ्ना पीडितहरूलाई...
    लोड गर्दै...